Die Zwei-Faktor-Authentifizierung: Gerüchte über ihr Ende sind übereilt

Vor der Einführung der Zwei-Faktor-Authentifizierung (2FA) waren Anwenderpasswörter das einzige Hindernis für den Zugriff auf Konten und sensible Daten. [...]

Foto: SteveBuissinne/Pixabay

Diese Schwachstelle wird weiter durch die Tatsache verschärft, dass diese Passwörter auch heute leider immer noch zu einfach sind und sowohl für private als auch berufliche Zwecke auf verschiedenen Plattformen wiederverwendet werden.

Laut dem Data Breach Report 2022 von Verizon basieren 82 % der Verstöße auf Social-Engineering-Techniken oder der Ausnutzung menschlicher Schwächen.

Um dieser Plage entgegenzuwirken, ist es heutzutage von entscheidender Bedeutung, die Authentifizierungsphase zu stärken. Obwohl Unternehmen des Öfteren die Zwei-Faktor-Authentifizierung als bewährte Sicherheitspraxis einsetzen, hat diese Methode verschiedene Schwächen.

Die Grenzen der Zwei-Faktor-Authentifizierung

In den letzten Jahren haben Cyberkriminelle ausgefeilte Techniken entwickelt, um die Zwei-Faktor-Authentifizierung zu umgehen. Eine der häufigsten Methoden besteht darin, nachgebildete Websites mit vorgefertigten Phishing-Kits zu erstellen.

Diese Websites enthalten gefälschte Login-Seiten, um Benutzeranmeldeinformationen wie Codes oder Session-Cookies zu sammeln. Dies ist eine äußerst effektive Methode, da das Opfer transparent zur legitimen Website umgeleitet wird, ohne den Betrug zu bemerken.

Andere komplexere Techniken wie ausgeklügeltes  Social Engineering werden ebenfalls eingesetzt, um ein Opfer dazu zu bringen, seinen Einmalkenncode durch Deep-Fake-Stimmtechniken oder durch die Umleitung von Telefonanrufen auf betrügerische Nummern preiszugeben.

Cyberkriminelle können die Zwei-Faktor-Authentifizierung auch mittels Brute-Force-Angriff umgehen, bei dem automatisch alle möglichen Varianten der Sicherheitscodes ausprobiert werden. In der Praxis sind diese Attacken jedoch selten, da sie Zeit erfordern und durch Firewall-Regeln unwirksam gemacht werden, die wiederholte Verbindungsversuche blockieren.

Noch seltener, aber genauso gefährlich sind sogenannte Man-in-the-Middle-Angriffe, bei denen ausgefeilte Techniken eingesetzt werden, um den 2FA-Code abzufangen, indem man sich in die Kommunikation zwischen dem Benutzer und der Anwendung einschleust.

Zum Beispiel nutzen Attacken wie “SIM-Swapping” die Option der Telefonnummernportierung des Smartphones bei einem Mobilfunkanbieter illegal aus, um die Bestätigungs-SMS mit den 2FA-Parametern des Opfers zu erhalten. Diese Methoden sind Alternativen zum physischen Diebstahl eines Computers oder eines Mobiltelefons.

Bereits im Jahr 2018 warnte Amnesty International vor den Schwachstellen der Zwei-Faktor-Authentifizierung. Amnesty Tech untersuchte damals eine umfangreiche und ausgeklügelte Phishing-Kampagne gegen Journalisten und Menschenrechtsverteidiger im Nahen Osten und Nordafrika.

Dabei hatten Cyberkriminelle gefälschte Google- und Yahoo-Authentifizierungsseiten erstellt. Sobald die Benutzer ihre E-Mail-Adresse eingegeben hatten, forderte die bösartige Benutzeroberfläche die Anwender auf, den ihnen gerade per SMS zugesandten sechsstelligen Authentifizierungscode einzugeben.

Indem die Cyberkriminellen sowohl die Anmeldedaten als auch den zweiten Authentifizierungsfaktor kannten, hatten die Angreifer vollen Zugriff auf die E-Mail-Konten ihrer Opfer.

Ist die Zwei-Faktor-Authentifizierung immer noch zuverlässig?

Die Zwei-Faktor-Authentifizierung ist tatsächlich deutlich zuverlässiger als ein einfaches Passwort. Um möglichen Umgehungsversuchen entgegenzuwirken, ist es jedoch dringend erforderlich, sie mit zusätzlichen Maßnahmen zu stärken.

Eine Möglichkeit, den Zugriff sicherer zu machen, besteht darin, die Anzahl der Überprüfungsfaktoren durch die Verwendung der Mehr-Faktor-Authentifizierung (MFA) zu erhöhen. Die Mehr-Faktor-Authentifizierung erfordert den Einsatz verschiedener Überprüfungselemente, um einer Person oder einer Maschine Zugriff zu gewähren.
Gemäß den offiziellen Empfehlungen der ANSSI werden diese Faktoren in vier Kategorien eingeteilt, darunter:

  • Bekannte Faktoren wie ein Passwort oder eine Sicherheitsfrage;
  • wie ein physischer Sicherheitstoken (eine Smartcard, ein SecurID-Schlüssel) oder ein digitaler Token (ein Telefon, eine mobile Anwendung), der einen eindeutigen und temporären Code (OTP) generiert;
  • angeborene Faktoren wie biometrische Merkmale, DNS, Fingerabdrücke, Netzhautmuster, Gesichtserkennung und Spracherkennung;
  • oder produzierte Faktoren wie Standort, Aktionen und Verhaltensanalyse.

Es gibt bereits verschiedene Lösungen, die noch mehr Sicherheit bieten. Dazu gehört die Out-of-band-Authentifizierung (OOBA), bei der Anwender über zwei verschiedene Kommunikationskanäle verifiziert werden. In diesem Fall könnte ein Faktor über ein LAN-Netz kommuniziert werden, während ein anderer über das 4G/5G-Netzwerk übermittelt wird – ergo eine Kanaltrennung für erhöhte Sicherheit. Ein weiterer Ansatz ist die Deep-Voice-Detection-Technologie, die von einer KI erzeugte Stimmen erkennt. Diese Techniken haben jedoch aufgrund hoher Implementierungskosten noch eine nur geringfügige Bedeutung.

Es ist also wichtig zu erkennen, dass die 2FA und in geringerem Maße die MFA anfällig für hochentwickelte Cyberangriffe sein können. Die Hinzufügung eines zweiten, auch schwachen Authentifizierungsfaktors macht den Benutzer aber im Vergleich zur Verwendung eines einzigen Faktors nicht anfälliger. Im Gegenteil! Deshalb sind diese Authentifizierungsmethoden noch nicht veraltet: Sie können die meisten gängigen Cyberangriffe abwehren.

Die korrekte Implementierung der Zwei-Faktor-Authentifizierung bleibt ein Schlüsselfaktor, um ausreichenden Schutz für den Zugriff auf Unternehmensressourcen zu gewährleisten.

Die Einführung eines dritten oder sogar vierten Authentifizierungsfaktors für bestimmte Benutzer (Systemadministrator und andere VIPs des Unternehmens) sowie der Einsatz mehrerer Kommunikationskanäle können die Schwachstellen des Authentifizierungsprozesses weiter reduzieren. Wie so oft geht es auch hier um eine angemessene Risikobewertung und die erforderliche Investitionsbereitschaft zur Risikominimierung.

powered by www.it-daily.net


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*